Znajdź zawartość

Jak poinformowała firma Symantec, w styczniu Anonimowi padli ofiarami cyberprzestępców. Stało się to przy okazji ataku Anonimowych na amerykański Departament Sprawiedliwości. Atak zorganizowano w zemście za zamknięcie serwisu Megaupload. Jego organizatorzy umieścili w serwisie Pastebin instrukcję opisującą w jaki sposób można dołączyć się do atakujących oraz oprogramowanie Slowloris służące do przeprowadzenia DDoS. Jak odkryli badacze Symanteka, ktoś podmienił przewodnik i wgrał na Pastebin wersję Slowloris zarażoną koniem trojańskim, który po zainstalowaniu pobiera trojana Zeus. Komputery zarażone szkodliwym kodem biorą udział w ataku DDoS, jednak w tle szpiegują właściciela maszyny, kradną dane bankowe oraz hasła i nazwy użytkownika do kont pocztowych. „Ludzie, którzy czynnie wsparli akcję Anonimowych nie tylko złamali prawo biorąc udział w ataku DDoS, ale również narazili się na ryzyko kradzież danych kont bankowych i poczty elektronicznej. Połączenie kradzieży danych finansowych oraz tożsamości, aktywności Anomimowych oraz ataku na Anonimowych to niebezpieczny etap rozwoju internetowej rzeczywistości“ - stwierdzili eksperci.

Podczas niedawnego, największego jak dotychczas, ataku na system Android, mogło zostać zainfekowanych nawet 5 milionów użytkowników Android Market. Szkodliwy kod, nazwany przez firmę Symantec „Android. Counterclank“, został ukryty w 13 różnych programach, które umieszczono w Android Market. Aplikacje były podpisane nazwami różnych wydawców, a ich tytuły to m.in. „Sexy Girls Puzzle“ czy „Counter Strike Ground Force“. Specjaliści Symanteca poinformowali, że przestępcy posłużyli się fałszywymi nazwami wydawców oraz własnym oprogramowaniem. Taktyka ta różni się od wcześniejszego sposobu ich działania, gdy zarażali szkodliwym kodem prawdziwe oprogramowanie i umieszczali je w Android Market. Symantec ocenia, że zarażone fałszywe programy zostały pobrane przez 1-5 milionów osób. Android.Counterclank to koń trojański, który kradnie informacje i modyfikuje stronę startową przeglądarki. Przestępcy zarabiają na reklamach, które wyświetlają się użytkownikom urządzeń z Androidem. Co prawda skuteczna infekcja wymaga wyrażenia przez użytkownika zgody na nadanie aplikacjom różnych uprawnień, jednak niewiele osób czyta prośby o wydanie zgody i zastanawia się nad nimi. Większość bezmyślnie zgadza się na to, o co prosi program. Ktoś podejrzliwy mógłby zastanawiać się, po co programowi zgoda na modyfikację przeglądarki czy wysyłanie danych GPS. Większość jednak w ogóle się tym nie przejmuje - mówi Kevin Haley z Symanteca. Na firmowej stronie opublikowano listę niebezpiecznych programów.

Jak donosi El Pais, do katastrofy lotniczej sprzed dwóch lat, w której zginęły 154 osoby mógł przyczynić się koń trojański, który zaraził komputer firmy Spanair. Dwudziestego sierpnia 2008 roku McDonnell Douglas MD-82 rozbił się wkrótce po starcie z lotniska Barajas w Madrycie. Na pokładzie maszyny lecącej do Las Palmas znajdowały się 172 osoby. Okazuje się, że w centralnym komputerze firmy Spanair, w którym odnotowywano informacje o problemach technicznych samolotów, znaleziono konia trojańskiego, który znajdował się tam w chwili katastrofy. Mechanicy Spanair, który zauważą usterki w samolotach, są zobowiązani natychmiast wysłać raport do centrali w Palma de Mallorca. Tam raporty są wprowadzane do komputera. Gdy w jednej maszynie odnotowano zostaną trzy usterki, komputer wszczyna alarm i samolot nie może wystartować. Już przed kilkoma miesiącami okazało się, że informacje o awariach wprowadzano z 24-godzinnym opóźnieniem. Jednak tym razem udałoby się samolot zatrzymać przed startem, gdyby nie... koń trojański. Dzień przed odlotem samolotu, 19 sierpnia, do komputera wprowadzono informacje o dwóch znalezionych usterkach. W dniu odlotu, 20 sierpnia, obsługa chciała wprowadzić dane o kolejnej, trzeciej, usterce. Gdyby je wprowadzono, maszyna wszczęłaby alarm i lot JK 5022 odbyłby się innym samolotem. Jednak gdy próbowano wprowadzić informację o usterce, okazało się, że na ekranie nie ma obrazu. Przyczyną był, jak się później okazało, trojan. Dotychczas śledczy przygotowali już 12 000 stron materiałów na temat katastrofy. Za jej główną przyczynę uznano fakt, że pilot podczas startu zapomniał o odpowiednim ustawieniu klap. Jednak o konieczności ich użycia przypomina pilotowi alarm dźwiękowy. Wiadomo, że podczas feralnego lotu alarm się nie rozległ. Eksperci chcą teraz zbadać czy istnieje związek pomiędzy zaobserwowanymi usterkami a brakiem sygnału alarmowego.

W sieciach P2P pojawiła się zarażona koniem trojańskim wersja instalacyjna systemu Windows 7 RC. Użytkownik, który ją zainstaluje, narazi się na atak i przejęcie kontroli nad komputerem przez cyberprzestępców. Jeśli zdecydujemy się na pobranie RC z torrentów, powinniśmy sprawdzić sumy kontrolne MD5. Dla ISO edycji 32-bitowej suma kontrolna to 8867C13330F56A93944BCD46DCD73590, a dla edycji 64-bitowej - 98341af35655137966e382c4feaa282d. Najbezpieczniej jednak jest poczekać do 5 maja i pobrać Windows 7 RC z witryny Microsoftu. To już drugi w ostatnim czasie atak na użytkowników P2P. Wcześniej okazało się, że osoby, które pobrały pirackie oprogramowanie Apple'a zostały zarażone szkodliwym kodem.

Cyberprzestępcy domagają się okupu w wysokości 300 dolarów w zamian za odszyfrowanie dysków twardych swoich ofiar. W Sieci ponownie pojawił się koń trojański GpCode. Osoby, które padły jego ofiarą tracą dostęp do swoich plików, a na ich komputer wgrywany jest plik read_me.txt, w którym mogą przeczytać: Cześć. Twoje pliki zostały zaszyfrowane algorytmem RSA-4096. Bez naszego oprogramowania potrzebujesz co najmniej kilku lat, by je odszyfrować. Wszystkie twoje prywatne informacje były przez ostanie 3 miesiące zbierane i wysyłane do nas. Aby je odszyfrować, musisz kupić nasze oprogramowanie. Cena wynosi 300 dolarów. Cyberszantażystą jest najprawdopodobniej Rosjani, a jego stwierdzenia o wykorzystywaniu przez GpCode 4096-bitowego algorytmu RSA są nieprawdziwe. Co więcej, z nieznanych dotąd przyczyn, trojan ma w swoim kodzie zapisany okres aktywności od 10 do 15 lipca. Specjaliści przypominają, że nigdy nie należy płacić szantażystom za odzyskanie plików. Najlepszym rozwiązaniem jest poproszenie o pomoc swojego dostawcy oprogramowania antywirusowego i regularne archiwizowanie najważniejszych dokumentów.

Znaleziono wyjątkowo niebezpieczną wersję rosyjskiego konia trojańskiego Gozi. Potrafi on kraść dane przesyłane za pomocą bezpiecznego protokołu SSL. Nowy Gozi to jeden z najbardziej zaawansowanych koni trojańskich, jakie dotychczas znaleziono. Gdy wykryje on, iż została rozpoczęta transakcja SSL, aktywuje się i, wykorzystując wbudowanego keyloggera, zapamiętuje każdy klawisz wciśnięty przez użytkownika zarażonego komputera. Obecny wariant Goziego wykorzystuje dawno już załataną przez Microsoft lukę w iFrame Microsoft Explorera. Do zarażenia dochodzi zwykle gdy użytkownik odwiedzi specjalnie spreparowaną witrynę WWW czy forum. Nowy Gozi potrafi świetnie się ukrywać, zmieniając swój kod, przez co systemy antywirusowe bazujące na sygnaturach nie potrafią go wykryć. Szkodliwy kod ma wbudowany własny mechanizm kompresji, więc kompresuje i rozpakowywuje części własnego kodu, zmieniając go w ten sposób. Wystarczająco złą informacją jest sam fakt, że Gozi potrafi zmieniać swój kod i unikać w ten sposób wykrycia. Jednak dochodzi jeszcze do tego jego możliwość włączania i wyłączania wbudowanego keyloggera, co czyni go niemal niewykrywalnym dla konwencjonalnych systemów zabezpieczeń. Jedynym sposobem ochrony przed nim jest analiza behawioralna – mówi Geoff Sweeney z firmy Tier-3. Gozi został złapany przez Dona Jacksona z SecureWorks. Odkrył on, że nawet te programy antywirusowe, które posiadały jego sygnatury, nie zawsze mogły go wykryć, a bardzo niewiele uznało go za podejrzany program. Jackson prześledził trasę infekcji i dowiedział się, że dotychczas Gozi zaraził ponad 5200 domowych pecetów i ukradł z nich nazwy użytkownika i hasła dostępu do ponad 300 firm i organizacji. Wśród tych danych jest wszystko, od numerów kont bankowych po numery ubezpieczenia społecznego. Są tam hasła dostępu do największych światowych banków i firm świadczących usługi finansowe. Ukradzione dane zawierają też hasła pracowników agend rządowych i organów ścigania – mówi Jackson.

Firma Kaspersky ostrzega przed nowym wariantem robaka Warezov. Jego najnowsze wcielenie – Warezov.nf – pojawiło się w czwartek rano, a wczoraj wieczorem oceniano, że odpowiada ono a 70 do 85% szkodliwego spamu obecnego w Sieci. Robak rozprzestrzenia się za pomocą poczty elektronicznej. W załączniku ukryty jest koń trojański, który po zainstalowaniu pobiera Warezova z różnych lokalizacji. Pobrany robak instaluje się na dysku i uruchamia za każdym razem, gdy startuje system operacyjny. Na zainfekowanym komputerze zbiera on adresy e-mail i, używając własnego silnika SMTP, rozsyła pod te adresy listy elektroniczne z załączonym koniem trojańskim. Robak potrafi wyłączyć wiele programów antywirusowych i firewalli. Warezov po raz pierwszy zaatakował we wrześniu ubiegłego roku. W lutym poinformowano, że potrafi rozprzestrzeniać się również przez Skype’a.

Skype został zaatakowany przez nową odmianę konia trojańskiego Stration. Szkodliwy kod rozprzestrzenia się za pośrednictwem odnośnika rozsyłanego do posiadaczy Skype’a. Gdy użytkownik kliknie na link, jego lista kontaktów wysyłana jest na zdalny serwer. Użytkownicy Skype’a otrzymują wiadomość z informacją ‘sprawdź to’. Dołączony jest do niej odnośnik. Po kliknięciu połączenie przekierowywane jest na serwer, który przechowuje plik o nazwie file_01.exe – czytamy w komunikacie firmy Websense. Plik ten pobiera i uruchamia inne pliki, które otwierają w systemie użytkownika tylne drzwi, dając atakującemu dostęp do komputera.

Specjaliści informują, że google’owski serwis blogowy Blogger jest wykorzystywany przez cyberprzestępców do rozpowszechniania szkodliwego kodu. Według firmy Fortinet, przestępcy założyli na Bloggerze setki blogów, na które wejście kończy się zarażeniem komputera szkodliwym oprogramowaniem. Odróżnienie ich od blogów tworzonych przez uczciwe osoby jest dla przeciętnego internauty niemożliwe. Jeden z takich fałszywych blogów został rzekomo założony przez miłośnika motocykla Honda CR450 i próbuje zarazić komputer wizytującego koniem trojańskim Wonka. Inny rzekomy blog przekierowuje swoje ofiary na stronę Pharmacy Express, która z jednej strony wyłudza dane osobowe, a z drugiej zaraża rozsyłającym spam koniem trojańskim Stration. To nie są prawdziwe blogi, które padły ofiarą cyberprzestępcą. To fałszywe blogi zajmujące się phishingiem – mówi przedstawiciel Google’a. Zapowiada śledztwo i usunięcie rzekomych blogów. Ataki na Bloggera to kolejny przykład, w jaki sposób sieci społecznościowe są wykorzystywane przez cyberprzestępców. Warto tu przypomnieć, że przed kilkoma miesiącami poinformowano o podobnych atakach na YouTube czy MySpace.

W Sieci pojawiła się nowa odmiana konia trojańskiego Storm Worm. Tym razem atakuje on blogi i grupy dyskusyjne. Jego poprzednia wersja, która powstała w styczniu, rozprzestrzeniała się w formie załącznika do listów elektronicznych. Po otwarciu załącznika koń trojański pobierał na zaatakowany komputer szkodliwy kod, który dawał cyberprzestępcom kontrolę nad maszyną. Obecna odmiana Storm Worm rozpowszechniana jest w formie załączników, odnośników w treści listów oraz na stronach WWW, na których wizyta kończy się zarażeniem. Gdy osoba, używająca zarażonego komputera, pisze bloga lub uczestniczy w grupie dyskusyjnej, do każdego jej wpisu jest dołączany link, prowadzący do szkodliwej strony. Dmitri Alperovitch z Secure Computing określa niebezpieczeństwo zarażania się jako "wysokie".

Specjaliści informują o olbrzymim wzroście liczby wirusów. Według firmy Postini obecnie zauważyć można 20-krotnie większą niż zwykle aktywność szkodliwego kodu. W ostatnim czasie pojawiły się liczne e-maile, których autorzy próbowali zachęcić odbiorców do uruchomienia załączonego pliku, w którym rzekomo miał się znajdować film obrazujący zniszczenia, dokonane w Europie przez ostatnie burze. W rzeczywistości znajdował się tam szkodliwy kod, który dołączał zainfekowany komputer do botnetu (sieci komputerów-zombie). Problem stał się na tyle duży, że Vint Cerf, jeden z twórców Internetu, stwierdził, że obecnie aż 25% podłączonych do Sieci komputerów jest częścią jakiegoś botnetu. Specjaliści są zdzania, że gwałtownie rosnąca liczba botnetów zagraża Internetowi jako całości. Takie sieci wykorzystywane są do przeprowadzania ataków DDoS, rozsyłania spamu i szkodliwego kodu. Ponadto obserwowane są niespotykane dotąd zjawiska. W poprzednich latach zauważano w okolicach świąt Bożego Narodzenia wzrost liczby ataków na osoby prywatne, sklepy i instytucje finansowe. Cyberprzestępcy usiłowali kraść dane osobowe i finansowe internautów. Po nowym roku mieliśmy jednak zawsze do czynienia ze spadkiem ich aktywności. Tym razem jest inaczej. Zagrożenie utrzymuje się na niezwykle wysokim poziomie i w najbliższym czasie nie należy spodziewać się spadku – zbliżają się bowiem Walentynki. A te są dla przestępców kolejną okazją do rozsyłania setek milionów e-maili zawierających niechciane reklamy czy szkodliwy kod. Niestety, użytkownicy Internetu wciąż są bardzo nieostrożni. Wielu z nich nie używa nawet oprogramowania antywirusowego i firewalla, a liczni otwierają większość załączników, jakie przychodzą do nich pocztą elektroniczną.

Fińska firma F-Secure ostrzega przed szkodliwym kodem zwanym potocznie "Storm Worm”. Już w tej chwili wiadomo, że dotarł on do skrzynek odbiorczych setek tysięcy internautów na całym świecie. Najprawdopodobniej jednak liczba zaatakowanych osób jest znacznie większa. Finowie zauważają, że „Storm Worm” rozprzestrzenia się wyjątkowo szybko. Robak Small.DAM rozsyłany jest w listach, w których rzekomo znajdują się informacje o ostatnich wichurach w Europie, o wypuszczeniu z więzienia mordercy czy o ludobójstwie brytyjskich muzułmanów. Szkodliwy kod rozsyłany jest w listach, których tytuły brzmią: "230 dead as storm batters Europe”, "A killer at 11, he’s free at 21 and...”, "British Muslims Genocide”, "Naked teens attack home director” itp. Zawierają one również załączniki: “Full Clip.exe”, “Full Story.exe”, “Read More.exe” czy “Video.exe”. Specjaliści ostrzegają, że w załączniku znajduje się koń trojański, który pozwala cyberprzestępcom na zdalne przejęcie kontroli nad komputerem użytkownika. W serwisie YouTube można obrazujący rozprzestrzenianie sie Small.DAM.

Zajmująca się bezpieczeństwem firma Surfcontrol poinformowała o znalezieniu witryny, która podszywa się pod usługę Google'a i służy cyberprzestępcom do infekowania komputerów internautów. Wspomniana witryna do złudzenia przypomina stronę, z której można pobrać Google Toolbar. W rzeczywistości nieostrożny użytkownik, który trafi na fałszywą stronę, pobiera konia trojańskiego W32.Ranky.FW. Jego celem jest zamienienie zainfekowanej maszyny w komputer-zombie i uczynienie go częścią botnetu (sieć komputerów-zombie), który może służyć m.in. do rozsyłania spamu czy przeprowadzania ataków typu DoS (denial of service). Surfcontrol uspokaja, że przestępcy popełnili błąd podczas programowania i w efekcie kod jest nieszkodliwy. Sposób działania cyberprzestępców wskazuje jednak, w można, wykorzystując cieszące się zaufaniem serwisy i znaki handlowe, wykorzystać do prowadzenia przestępczej działalności.